[gard]

Всем доброго времени суток!

Есть проблема, которую никак не могу придумать как решить. Подскажите добрые люди.

 

Есть плоская сеть, домен AD. В сети есть влан с определенными устройствами. Также есть микротик, который работает просто как хаб, но bridge принимает нужный влан как tagged и микротик в этот влан выглядывает своим vlan-interface.

 

Задача состоит в том, чтобы определенные компьютеры, подключенные в этот микротик могли бы иметь доступ в  этот влан, при этом оставаясь в своей сети. Втыкать эти компьютеры в untagged-порт не вариант. Натить их микротиком тоже не вариант. Нужно сделать как-то "прозрачно через бридж".

 

Пробовал включать Ip-Firewall для бриджа и маскарадить трафик в этот влан в зависимости от dst address list, трафик вроде деже маскарадится, но ответного трафика не вижу.

Что можно придумать? Кто-то сталкивался с такой задачей?

 

И еще.. вланы можно стерминировать на default gw, но.. это не вариант по определенным причинам.

[jffulcrum]

Через switch rules можно заменять VLAN тэг, прокидывая таким способом из одного VLAN в другой без маршрутизации

[gard]

Интересная мысль, спасибо. Посмотрел меню свитча, у меня Atheros 8227, у него нет vlan translation. Но как вариант буду иметь в виду, в винде же вроде можно сетевой карте второй адрес задать, как алиас в линуксах...

 

Сижу, пробую натить на железку в нужный влан трафик от абонента.. что-то не выходит каменный цветок. Единственное, что пока получилось - редирект на сам микротик по адресу vlan-интерфейса.

[jffulcrum]

Через правило forward на MT и кастомный маршрут на клиентах

 

2 часа назад, gard сказал:

Посмотрел меню свитча, у меня Atheros 8227, у него нет vlan translation

Ну будет CPU пыхтеть, если PPS небольшой и там не древности на MIPS - незаметно.

[gard]

Напишу в саппорт микротика, может быть скажут как красиво сделать. Пытался до вечера - что-то не выходит рабочего результата )

[dmp.user]

Любопытно. Что же мешает использовать микротик в качестве маршрутизатора между AD сетью и отдельным вланом?

[gard]

Да, это как бы очевидное решение. Но тогда компьютеры за микротиком выпадают из домена. Майкрософт официально говорит, что в домене не должно быть ната.

[dmp.user]

Видимо какая-то неясность с исходными условиями. Если две сети с разными адресами подключены к микротику, достаточно обычной маршрутизации - без ната. Каждая группа устройств останется в своем адресном пространстве, а шлюзом для доступа к соседу будет микротик. Либо есть еще какие-то, не названные условия, ну или микротик слишком малопроизводительный для маршрутизации предполагаемых потоков проходящего трафика.

[lugoblin]

Меняйте топологию вашей сети, так чтобы маршрутизацией между VLAN-ами занималось то-же устройство, которое эти VLAN-ы используют как шлюз. Mikrotik в такой роли выглядел бы достаточно органично.

 

[gard]

В 11.06.2021 в 23:04, dmp.user сказал:

Видимо какая-то неясность с исходными условиями. Если две сети с разными адресами подключены к микротику, достаточно обычной маршрутизации - без ната. Каждая группа устройств останется в своем адресном пространстве, а шлюзом для доступа к соседу будет микротик. Либо есть еще какие-то, не названные условия, ну или микротик слишком малопроизводительный для маршрутизации предполагаемых потоков проходящего трафика.

Вот тут я что-то немного подзавис.

Скажем, микротик работает в режиме бриджа, имеет адрес в основной сети и в сети vlan.

Физически клиент включен в этот микротик и имеет свой, отличный от адреса микротика default gw адрес.

Получается, чтобы попасть в любую неизвестную сеть (vlan) клиент будет обращаться на этот самый default gw адрес, минуя микротик.

Вот как-то так... А шлюз на клиенте я поменять не могу.

 

Выворачивался в пятницу с использованием dhcp-relay (чтобы как раз для клиента микротик стал дефолтным шлюзом), оно даже заработало на какое-то время.

Но сегодня что-то сломалось.

[DeLL]

По всей видимости Вы не совсем понимаете матчасть. Попасть в другую подсеть можно ТОЛЬКО через маршрутизатор, который будет def gw как в текущей подсети, ОТКУДА Вы собираетесь идти, так и в сети назначения. Так работает классическая маршрутизация без бубнов и костылей.

Ваша задача решается несколькими способами:

1. Попасть в другую подсеть через маршрутизатор (def gw). Никакого НАТа нигде не требуется. Просто обе подсети должны быть на этом маршрутизаторе в качестве def gw. Да, для этого придется перестраивать топологию

2. Обмануть судьбу и попасть в другую подсеть не меняя топологию через существующий микрот

 

Второй вариант реализуется с помощью прописывания вручную на требуемых ПК маршрута в требуемую подсеть с указанием IP микрота в качестве GW для этой подсети. На самом микроте нужно всего 1 правило маскарада или src-nat с параметрами out-interface=_ВАШ_VLAN_ src-address=подсеть_назначения/маска

[gard]

Да, я про то же собственно и говорю.

Может быть и приду к тому, что роуты пропишу на требуемых компьютерах, тоже в принципе то вариант, и никакого колхоза.

Спасибо!

[EugeneTV]

В 15.06.2021 в 10:15, gard сказал:

...

Физически клиент включен в этот микротик и имеет свой, отличный от адреса микротика default gw адрес.

Получается, чтобы попасть в любую неизвестную сеть (vlan) клиент будет обращаться на этот самый default gw адрес, минуя микротик.

Вот как-то так... А шлюз на клиенте я поменять не могу.

 ....

А на шлюзе можете указать микротик в статическом маршруте в vlan? НАТ вам вообще для чего? вам обычной маршрутизации за глаза

[gard]

Да, я к тому и пришел по итогу, с dhcp relay как вариант в будущем, но пока все рулится на шлюзе.

Я конечно сложно все выше написал, но задача у меня банальная.

 

Есть сеть, в ней есть видео-наблюдение, которое переезжает в отдельный vlan. А "смотрители" видео туда не переезжают.

Вот я и задумался как это сделать. Все вроде просто, кроме одного "но".. видео-трафик идет потоком больше 600Мбит/с и это далеко не потолок. Понятно, что смотреть все камеры одновременно никто не будет, но все-таки трафика может быть многовато.

Ну и как бы гнать через шлюз видео с железки, которая стоит в двух метрах от тебя.. ...

 

Ну и есть конечно совсем уж простой вариант - в железку с которой смотрят видео поставить вторую сетевую карту, чтобы она присутствовала в обеих сетях.

Изменено 30 июля, 2021 пользователем gard